Coveware 在一份新报告中指出，单纯的数据窃取对勒索软件组织来说已不再是一种有利可图的方法，威胁行为者可能会越来越依赖加密来重新获得优势。

在 Cl0p 等知名组织成功发动了一系列仅窃取数据攻击之后，其他勒索软件组织也效仿了这一趋势，窃取受害者的数据而不对其进行加密。

、和客户的营销活动证明，这种方法不再能带来投资回报。

报道称，Cl0p 开启了这一趋势，其策略很简单：它获取了一款流行的企业文件传输或数据存储产品中的零日漏洞利用程序，入侵了尽可能多的实例以窃取数据，并勒索每个受害实体支付赎金。

软件攻击事件中获利数千万美元，当时超过25%的受影响机构可能支付了赎金。攻击事件中，约有20%的受影响机构也支付了赎金。

然而，在随后的攻击活动中，受害者的支付意愿大幅下降：据 Coveware 在其最新的勒索软件趋势中称，MOVEit 数据泄露事件中只有不到 2.5% 的人支付了赎金，而 Cleo 和 Oracle EBS 事件中几乎没有人支付赎金。

该公司表示，这一趋势的出现是由于企业在面对数据泄露时整体态度日趋成熟：支付赔偿金并不能免除法律责任，也不能保证攻击者不会保留、泄露或重新利用被盗数据。

Coveware指出：“企业正在逐渐了解支付赎金以阻止泄露已泄露数据的利弊。‘利弊’方面的要点越来越少，而‘弊端’方面的要点却越来越多。”

该公司表示，Shiny Hunters勒索团伙也采用了这种策略，但财务结果却令人失望。在和遭受的攻击中，受害者很少支付赎金。

在赎金支付率创历史新低的情况下，Coveware 预计勒索软件组织将重新采用数据加密，“数据加密一直以来都是比数据勒索更有效的手段，可以提高支付赎金的可能性。”

此外，除了直接勒索之外，威胁行为者可能会寻求其他方式来利用被入侵的网络获利，并且预计会缩减其运营规模，以最大限度地降低成本和风险。

平均支付额增加

尽管支付意愿较低，但去年第四季度的平均赎金支付额接近 60 万美元（比第三季度增长 57%），也推动了中位数支付额的增长，达到 32.5 万美元（比第三季度增长 132%）。

Coveware表示：“平均支付额的显著飙升反映的是孤立的、影响巨大的事件，通常与以解密为目的的和解有关，在这些情况下，业务中断无法通过其他方式减轻。这些事件并不表明支付意愿普遍回升。”

Coveware 指出，由于攻击主要针对中小企业，而这些企业能够承受的金额有限，因此赎金中位数仍然低于平均水平。

总体而言，2025 年最后三个月的赎金支付额约为 20%，其中纯粹由数据泄露驱动的高价值和解金额有所下降，支付金额受事件影响。

据 Coveware 称，各组织对加密驱动的勒索软件攻击表现出更强的抵抗力，能够在不支付赎金的情况下恢复运营，但威胁行为者的活动仍然很高。

去年第四季度，Akira 是最活跃的勒索软件组织，约占观察到的活动的 14%，其次是 Qilin（13%）和 Lone Wolf（12%）。

Coveware 的勒索软件趋势报告显示，2025 年第四季度，专业服务行业遭受勒索软件攻击的数量最多，达到 18.92%，其次是医疗保健行业（15.32%）、技术硬件和设备行业（9.91%）、软件服务行业（7.21%）以及消费者服务行业（9.01%）。

Coveware指出：“每一次避免支付赎金，都会减少网络勒索生态系统的氧气。预防措施的改进、影响范围的缩小以及应对决策的规范化，其累积效应持续削弱攻击者的经济效益，尤其对于以交易量为导向的勒索即服务（RaaS）运营而言更是如此。”